Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Falha grave em codec de vídeo permite execução de códigos ocultos

Falha grave no FFmpeg permite execução remota de código via arquivo de vídeo, afetando players, servidores e thumbnails; correção chega na versão 8.1.2

Codec de vídeo tem falha grave que permite execução de códigos ocultos
0:00
Carregando...
0:00
  • Vulnerabilidade PixelSmash afeta a biblioteca FFmpeg, especialmente o decodificador MagicYUV da libavcodec, com CVE-2026-8461 e gravidade de 8,8/10.
  • Atacam praticamente qualquer aplicativo que usa FFmpeg para processar vídeo, incluindo Jellyfin, Emby, Kodi, mpv, OBS Studio, Nextcloud, Immich e PhotoPrism.
  • O exploit permite execução remota de código sem autenticação, apenas ao abrir um arquivo de vídeo especialmente criado (AVI, MKV ou MOV) de cerca de 50 KB.
  • Em desktops, o ataque pode ocorrer ao abrir o arquivo ou ao ser gerado uma miniatura; gerenciadores de arquivos que utilizam ffmpegthumbnailer também estão vulneráveis.
  • A correção já está disponível na versão 8.1.2 do FFmpeg; usuários e administradores devem atualizar os sistemas que utilizam os aplicativos afetados.

Uma falha crítica identificada na biblioteca FFmpeg, batizada de PixelSmash, permite a execução de código malicioso por meio de arquivos de vídeo especialmente criados. A vulnerabilidade, rastreada como CVE-2026-8461 com severidade 8,8, atua no decoder MagicYUV da libavcodec e pode ser explorada sem autenticação ou acesso prévio ao sistema. Diversos aplicativos que processam vídeo podem ser impactados.

A JFrog, empresa de segurança responsável pela descoberta, confirmou que o problema atinge um conjunto amplo de ferramentas e plataformas. Entre os afetados estão players como Kodi e mpv, servers de mídia como Jellyfin e Emby, soluções de armazenamento em nuvem, galerias de fotos e aplicativos de transmissão, incluindo OBS Studio. O alcance envolve sistemas operacionais variados, dada a onipresença do FFmpeg.

O funcionamento da falha está ligado a uma inconsistência na forma como o MagicYUV decoder gerencia fatias de imagem durante a decodificação. Em termos simples, uma parte do código reserva memória para dados de imagem, enquanto outra escreve além desse espaço, configurando uma condição de heap out-of-bounds write que permite a execução de comandos no dispositivo da vítima.

Para explorar a vulnerabilidade, basta entregar um arquivo de vídeo malicioso. Um arquivo de apenas 50 KB em formatos como AVI, MKV ou MOV pode ser suficiente para ativar o ataque quando o aplicativo tenta processar o arquivo ou gerar uma miniatura. Em desktops, o ataque ocorre seja ao abrir o arquivo em um player ou ao navegar até a pasta que o contém; gerenciadores de thumbnail que utilizam ffmpegthumbnailer também ficam vulneráveis.

A demonstração da exploração ocorreu em ambientes que incluem Jellyfin, Kodi, mpv, OBS Studio, Nextcloud, Emby, Immich e PhotoPrism, segundo a JFrog. A empresa destacou ainda o uso remoto de código no servidor de mídia Jellyfin durante a validação da falha. Não é necessária senha, conta ou privilégios especiais para que o exploit funcione.

A correção já está disponível. A equipe de FFmpeg lançou a versão 8.1.2 com o patch para o PixelSmash. Usuários e administradores devem atualizar os componentes afetados o quanto antes, especialmente em ambientes com serviços de transcodificação, streaming ou geração automática de miniaturas. A atualização busca mitigar a vulnerabilidade sem exigir alterações adicionais no fluxo de trabalho das aplicações.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais